Gestion des Documents Perspectives:
Dimension: px
Commencer à balayer dès la page:

Download "Gestion des Documents Perspectives:"

Transcription

1 Gestion des Documents Perspectives: Dépourvue de préparation, d information et de souplesse. Pourquoi les entreprises doiventelles se préparer au challenge de la législation européenne de protection des données The power of memory

2 Le monde des affaires est-il capable de muter pour se préparer à la nouvelle règlementation de protection des données Les ministres européens préparent une réunion pour cet été afin de finaliser les derniers détails de la loi européenne pour la protection des données, ce qui fait réagir beaucoup d entreprises qui ne sont pas encore prêtes. Et, dans certains cas, elles ne s inquiètent pas encore des conséquences que cela pourrait avoir pour elles. Le Conseil Européen a demandé aux ministres de s attendre à une session marathon car des éléments sensibles et controversant seront discutés. Celle-ci inclue le montant des amendes pour les violations de données, l ampleur de la portée de la réglementation, des exemptions possibles et les droits remis aux citoyens européens sur leurs données personnelles. Ce débat risque de figer les affaires dans beaucoup de secteurs, à travers toute l Europe. Cependant, beaucoup d entreprises appliquent la politique de l autruche et préfèrent attendre. Cela signifie que beaucoup d entreprises risquent de ne pas être prêtes en 2017, au moment de la mise en place de la règlementation. Coupable non seulement de sous-estimer l ampleur des changements nécessaires, elles sous-estiment également le temps nécessaire pour ces changements. Nous ne parlons d un simple problème à régler. Se mettre en conformité avec la nouvelle règlementation ne consistera pas en la simple installation d un logiciel espion. Cela va engendrer un changement complet de la culture d entreprise, une restructuration totale de la gouvernance de l information, une remise à plat des mesures de sécurité comme l encodage ou le niveau de formation du personnel. Le contrôle de la propriété passe aussi par le design, qui est un point clé de cette nouvelle règlementation. Le design des systèmes permettra, tout autant que l architecture, de préserver la sécurité des données. Crown Records Management a mené une étude auprès des décideurs informatiques chevronnés à travers le Royaume-Uni, en avril 2015, afin de préparer au mieux ces changements. Il semblerai que nous n ayons pas encore mesuré l ampleur de la tâche Les réponses obtenues (plus de 200 employés) viennent de tous les secteurs d activité comme par exemple le public, l assurance, la banque, la grande distribution, l industrie pharmaceutique ou les services généraux. Certains résultats devraient nous alarmer. Une personne interrogée sur cinq admet ne pas être au courant des changements à venir Une personne interrogée sur cinq admet ne pas être au courant des changements à venir. Un quart d entre eux déclarent vouloir attendre les derniers détails avant de passer à l action. Plus de 2 entreprises sur 5 ayant un chiffre d affaires supérieur à 500 millions dissent ne pas être concernées par cette nouvelle législation. Sans aucun doute, certaines sociétés sont déjà en conformité avec les modifications demandées. Google, par exemple, a d ores et déjà préparé le «droit à l oubli» pour les citoyens européens afin qu ils puissent supprimer les données les concernant, suite à la décision de la cour d Espagne. Le demande faite à toutes les sociétés de plus de 250 personnes de mettre en place un officier de régulation des données est déjà respectée dans la plupart des cas. 2

3 1. Human error ensure all staff are educated ¼ des entreprises ont dit qu ils attendraient les derniers détails du règlement avant de prendre toute action à tous Plus de deux en cinq décideurs avec un chiffre d affaires de plus de 500 millions ont dit qu ils étaient «pas préoccupé» par l impact de la nouvelle structure Mais pour les sociétés de plus de 500 millions de chiffre d affaires qui dissent ne pas être concernées, cela signifie qu elles ne se sentent pas préoccupées par des amendes de 5% de leur chiffre d affaires. Considérant que la plupart de ces sociétés sont cotées, quelles conséquences cela aurait-il sur les cours de bourse? sur les dividendes? Pour les entreprises de taille intermédiaire, ces amendes pourraient être paralysantes. C est peut-être pourquoi, dans notre étude, la moitié des répondants travaillant dans des sociétés de 100 à 500 millions de chiffre d affaires se sentent concernés par cette nouvelle régulation. 30% ont déjà nommé un repsonsable de la protection des données La question principale n est pas de savoir si le business sera impacté, mais de connaître les actions à mener afin d anticiper. Encore une fois, cette étude met en avant le fait que beaucoup de structures ne sont pas conscientes des changements que nécessite cette loi. Près de la moitié des sociétés qui ont eu connaissance de cette loi dissent avoir reçu des directives à ce sujet. Un tiers d entre-elles ont débloqué un budget, 2 sur 5 ont prévu un programme de formation. Mais qu en est-il des 50% restant? 2/3 n ont pas de budget disponible? 3/5 n ont pas prévu de changer de culture d entreprise pour la gestion des données? Le temps de la sensibilisation est venu 2 sur 5 prévoient un programme de formation du personnel 50% ne revoient pas les politiques 3

4 Erreur humaine s assurer que toutes les équipes sont formées Préparation Protection des données générales de l'ue Travailler sur le sujet alors que la nouvelle règlementation n entrera en vigueur qu en 2017, le débat fait rage depuis longtemps déjà. C est pourquoi beaucoup de sociétés ont choisi : attendons de voir. Ce que ces entreprises n ont pas pris en compte, c est que les règles de gestion des données à venir ne seront pas négociables. S y préparer évitera donc des amendes et permettra de prendre une avance certaine sur ses concurrents. Si les discussions vont bon train cet été, il se peut même que la législation entre en vigueur à la fin de l année, ce qui était le délai initial. Les raisons suivantes d agir rapidement devraient vous convaincre : 1. Le travail est bien plus important qu il n y parait Quelques sociétés sont certaines de savoir exactement quelles sont les données en leur possession, où elles se trouvent, qui y a accès et comment les gérer. Est-ce également votre cas? Mettre en place les bons processus peut prendre plus de temps que vous ne le pensez. Par exemple, les données papier et digitales seront concernées par cette mission. Si vous êtes une grande entreprise qui est déjà en conformité avec les règles de gestion des données vous devez penser que vous ne serez pas impactés. C est une erreur. Vous avez, de par votre taille ou votre longévité, une grande quantité de documents papier, parfois chez des tiers-archiveurs, sur lesquels il faudra travailler. De la même manière, au département marketing, avec une base de données opt-in et B2B, pensez-vous être en conformité? Qu en est-il des départements Finance et RH? Un audit de chaque département est donc nécessaire, et c est un travail important. 4

5 2. Bonne gouvernance des données et gestion des données comme un actif générant des profits Il y a des bénéfices commerciaux directement liés à un accès rapide à l information, et donc à la libération rapide d espace de stockage grâce à la destruction. Conserver uniquement les données nécessaires ne permet pas uniquement de préserver de l énergie et de dégager de l espace de stockage, mais réduit également la taille des bureaux, et donne donc lieu à des économies de loyer. Pour le moment, conserver des données au-delà de la durée légale de rétention est peu coûteux et donne une impression de sécurité. Une fois la nouvelle législation mise en place, tout citoyen pourra demander à consulter ces documents le concernant. Des coûts supplémentaires seront donc à prévoir, même si la donnée a peu de valeur pour l entreprise qui la conserve. 3. Il y a une menace pour votre réputation si vous êtes le premier à être contrôlé Pour une grande entreprise dans le radar des autorités, démontrer que vous êtes avance sur vos responsabilités peut vous permettre d obtenir leur bienveillance quand les règles rentreront en application. Le régulateur voudra certainement faire des exemples avec les premières sociétés sanctionnées. 4. Se mettre en conformité avec la régulation coûte de l argent, beaucoup d entreprise aurons besoin d un budget et de temps Près de 40 % des répondants ayant connaissance de cette nouvelle législation indiquent être inquiets à propos des coûts qu elle engendre. Les coûts varient beaucoup entre un audit de données, la mise en place d un nouveau système, l embauche de nouveaux collaborateurs (comme l officier de protection des données) et leur formation. Ils demanderont peut être même une augmentation de capital dans certains cas. Certaines sociétés, devront peut être redesigner leur espace de réception afin de contrôler les données personnelles que l on pouvait y trouver. Les bases de données seront également à reconfigurer. Certaines entreprises ont implémenté un outil de gestion des données et souvent identifié des conflits tels que les informations des contacts. Les budgets informatiques sont déjà débordés, trouver cet argent va être compliqué. 5. Clients et parties prenantes seront plus à l aise si vous êtes consciencieux avec leur données L intérêt du public porte sur le droit à l oubli qui a vu Google, forcé par une cour de justice, à retirer les données personnelles de ses requêtes, ce qui lui a valu une mauvaise publicité. C est également le cas d autres grandes compagnies. Dans le futur, la pression sur ces sociétés qui conservent des données personnelles sera de plus en plus grande. Les consommateurs d internet sont connus pour cela, on les gagne aussi vite qu on les perd. Les compagnies qui joueront le jeu des données personnelles feront des gains commerciaux. C est ne pas juste une question de conformité, mais de montrer que l on est en conformité. 6. Embaucher rapidement un officier de protection des données peut vous faire réaliser des économies La législation requière que toutes les sociétés de plus de 250 personnes, ou celles qui manipulent plus de dossiers personnels à travers l Europe, embauche un officier de protection des données. Cela signifie qu il va y avoir une forte demande et peu de personnes disponibles. Plus vous attendrez, plus les salaires monteront, ne faites donc pas comme toutes ces entreprises qui vont attendre le dernier moment. 5

6 Combien de temps cela prendrat-il d être prêt pour un nouveau monde de données? Peut-être que les plus grandes entreprises doivent se demander combien de temps prendra la mise en place de cette régulation et quand ils doivent commencer? La première partie de cette question n est pas simple à répondre car un programme continu de réforme est nécessaire. Combien de temps un telle préparation va-t-elle prendre? Cela dépend des résultats de l audit initial et du nombre de points à changer.la seconde partie semble plus simple. Il faut commencer le plus tôt possible car le temps est une denrée rare. Un audit des données peut prendre des semaines, peut-être plus pour des grandes sociétés. Certaines bases de données pourraient être à revoir et cela rallongerai considérablement la durée d étude. La formation du personnel prendra également plusieurs mois : un changement de culture d entreprise est toujours très long. Donc, même si la législation n est en place qu en 2017, il faudra avoir commencé à évoluer bien avant. 6

7 Voici un guide basique vous permettant de vous lancer 1. Commencer par un audit de données Si vous ne savez quelles données vous détenez dans votre business et où elles se trouvent, c est un mauvais début. Les dossiers papier et électroniques seront inclus dans la législation. Sans cet audit, vous avez peu de chances d être en conformité. 2. Savoir quelles données conserver L idée de conserver toutes les archives au cas où n est pas valable dans le temps car les quantités de données augmentent et on finit par ne plus s y retrouver. Une notion importante de la gouvernance des données est la connaissance des données utiles et de celles qui ne le sont pas. Cela pourra même vous faire réaliser des économies. Un problème récurrent, par exemple, est celui des données anciennes de personnes n ayant jamais donné leur accord pour une utilisation future. Peut-on communiquer avec eux ou non? Pouvons-nous reprendre contact avec eux? 3. Destruction sécurisée des données obsolètes Peu d entreprises ressortiront de cet audit avec une connaissance à 100% de leur données. Il faudra donc détruire de manière sécurisée les données papier obsolètes, par exemple celles dont la durée de rétention est dépassée. Certaines personnes prévoient un boom de la destruction sécurisée suite à la mise en place de cette régulation, n attendez pas le rush pour vous en occuper. 4. Prévoir un budget pour l Officier de Protection des Données et anticiper son recrutement Ce point sera essential pour les grandes compagnies mais aussi pour les plus petites qui utilisent un nombre important de données personnelles. Dans ce dernier cas, l externalisation pourra être une solution. De toute façon il y aura un coût qui doit être budgétisé. Il est à noter que pour les entreprises qui échappent à la création de ce poste, il y aura nécessité de prendre quelqu un en charge la gestion des données. Cela peut sembler étrange, mais dans le cas contraire, il est probable que les données ne seront pas bien entretenues. 5. Commencer la formation et revoir la gouvernance de votre information La formation de votre personnel est cruciale pour atteindre les objectifs donnés par le législateur et éviter les violations de données.la plupart des intrusions font suite à des erreurs individuelles ou au nonrespect des processus. Le focus doit être mis sur le suivi des employés, à tous les niveaux, afin qu ils prennent conscience de l importance du sujet. Tous les employés doivent être au courant, entrainés et agir de manière responsable en tant que propriétaires d informations. Ils doivent comprendre l importance des mots de passe, de l encodage, des droits d accès et de la sensibilité de l information. Les logiciels et patches devront être régulièrement mis à jour. 6. Mettre en place un reporting clair et efficace dans le cas de violations de données La législation va également mettre en place des critères auxquels ils faudra se référer, avec un délai de 72h. Pour cela, tous les employés (et particulièrement ceux en contact avec la clientèle), doivent comprendre ce qu est une archive, ce qu est une violation et quelles en sont les conséquences. Avec un tel délai de réactivité demandé, le PDG ou le Responsable de l Information ne pourra pas supporter la responsabilité d un tel reporting. Beaucoup d entreprises trouveront que leur cadre de gouvernance de l information n est pas adapté mais il doit être clairement défini qui est responsable pour chaque type de données dans une entreprise. De plus, l ajout de la notion de conservation physique par le législateur, par exemple des dossiers papier, demandera une mise à jour de certaines politiques. 7

8 Conclusion La législation européenne de protection générale des données affectera plus précisément le business français pour les sociétés détenant des données individuelles. Mais l impact se diffusera également dans d autres secteurs, il faudra donc rester vigilent. Il est simple de penser que 2017 est encore loin, d autant plus que les derniers points n ont pas été encore réglés. En réalité, le temps est court pour se mettre en conformité, il est donc temps d agir dès à présent. Cet article a été rédigé par John CULKIN et adapté par Guillaume CAILLAUD de Crown Records Management. Si vous avez des questions à propos de cet article ou souhaitez des informations complémentaires à propos de Crown Records Management vous pouvez les contacter gcaillaud@crownww.com ou jculkin@crownww.com 8

Documents pareils
2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back